GitHub

Usa OpenSploit in issue e pull request su GitHub.

OpenSploit si integra nel tuo workflow GitHub. Menziona /opensploit o /oc in un commento e OpenSploit eseguira’ i task dentro il runner di GitHub Actions.

Funzionalità

Triage delle issue: chiedi a OpenSploit di indagare su una issue e spiegartela.
Fix e implementazioni: chiedi a OpenSploit di risolvere una issue o implementare una feature. Lavorera’ su un nuovo branch e inviera’ una PR con tutte le modifiche.
Sicuro: OpenSploit gira all’interno dei runner GitHub.

Installazione

Esegui il comando seguente in un progetto che si trova in un repo GitHub:

opensploit github install

Questo ti guidera’ nell’installazione della GitHub app, nella creazione del workflow e nella configurazione dei secret.

Configurazione manuale

In alternativa, puoi configurarlo manualmente.

Installa la GitHub app

Vai su github.com/apps/opensploit-agent. Assicurati che sia installata sul repository di destinazione.

Aggiungi il workflow

Aggiungi il seguente file workflow in .github/workflows/opensploit.yml nel tuo repo. Assicurati di impostare il model appropriato e le API key richieste in env.

name: opensploit

on:
  issue_comment:
    types: [created]
  pull_request_review_comment:
    types: [created]

jobs:
  opensploit:
    if: |
      contains(github.event.comment.body, '/oc') ||
      contains(github.event.comment.body, '/opensploit')
    runs-on: ubuntu-latest
    permissions:
      id-token: write
    steps:
       - name: Checkout repository
         uses: actions/checkout@v6
         with:
           fetch-depth: 1
           persist-credentials: false

       - name: Run OpenSploit
        uses: silicon-works/opensploit/github@latest
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
        with:
          model: anthropic/claude-sonnet-4-20250514
          # share: true
          # github_token: xxxx

Salva le API key nei secret

Nelle impostazioni della tua organizzazione o progetto, espandi Secrets and variables sulla sinistra e seleziona Actions. Poi aggiungi le API key richieste.

Configurazione

model: il modello da usare con OpenSploit. Usa il formato provider/model. E’ obbligatorio.
agent: l’agente da usare. Deve essere un agente primario. Se non trovato, usa default_agent dalla config o "build".
share: se condividere la sessione OpenSploit. Di default e’ true per repository pubblici.
prompt: prompt personalizzato opzionale per sovrascrivere il comportamento di default. Usalo per personalizzare come OpenSploit processa le richieste.
token: token di accesso GitHub opzionale per eseguire operazioni come creare commenti, committare modifiche e aprire pull request. Di default, OpenSploit usa l’installation access token della OpenSploit GitHub App, quindi commit, commenti e pull request risultano provenire dalla app.

In alternativa, puoi usare il token integrato GITHUB_TOKEN del runner GitHub Actions senza installare la OpenSploit GitHub App. Assicurati solo di concedere i permessi necessari nel workflow:
```
permissions:
  id-token: write
  contents: write
  pull-requests: write
  issues: write
```
Se preferisci, puoi anche usare un personal access tokens(PAT).

Eventi supportati

OpenSploit puo’ essere attivato dai seguenti eventi GitHub:

Tipo evento	Attivato da	Dettagli
`issue_comment`	Commento su una issue o PR	Menziona `/opensploit` o `/oc` nel commento. OpenSploit legge il contesto e puo’ creare branch, aprire PR o rispondere.
`pull_request_review_comment`	Commento su specifiche righe in una PR	Menziona `/opensploit` o `/oc` durante una review. OpenSploit riceve path file, numeri di riga e contesto del diff.
`issues`	Issue aperta o modificata	Attiva automaticamente OpenSploit quando le issue vengono create o modificate. Richiede l’input `prompt`.
`pull_request`	PR aperta o aggiornata	Attiva automaticamente OpenSploit quando le PR vengono aperte, sincronizzate o riaperte. Utile per review automatiche.
`schedule`	Pianificazione basata su cron	Esegue OpenSploit a pianificazione. Richiede l’input `prompt`. Output nei log e nelle PR (nessuna issue su cui commentare).
`workflow_dispatch`	Trigger manuale dalla UI GitHub	Attiva OpenSploit on-demand dalla tab Actions. Richiede l’input `prompt`. Output nei log e nelle PR.

Esempio con schedule

Esegui OpenSploit a pianificazione per eseguire task automatizzati:

name: Scheduled OpenSploit Task

on:
  schedule:
    - cron: "0 9 * * 1" # Every Monday at 9am UTC

jobs:
  opensploit:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: write
      pull-requests: write
      issues: write
    steps:
      - name: Checkout repository
        uses: actions/checkout@v6
        with:
          persist-credentials: false

      - name: Run OpenSploit
        uses: silicon-works/opensploit/github@latest
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
        with:
          model: anthropic/claude-sonnet-4-20250514
          prompt: |
            Review the codebase for any TODO comments and create a summary.
            If you find issues worth addressing, open an issue to track them.

Per gli eventi schedulati, l’input prompt e’ obbligatorio dato che non c’e’ un commento da cui estrarre le istruzioni. I workflow schedulati girano senza un contesto utente per i controlli di permesso, quindi il workflow deve concedere contents: write e pull-requests: write se ti aspetti che OpenSploit crei branch o PR.

Esempio di pull request

Review automatica delle PR quando vengono aperte o aggiornate:

name: opensploit-review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  review:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: read
      pull-requests: read
      issues: read
    steps:
      - uses: actions/checkout@v6
        with:
          persist-credentials: false
      - uses: silicon-works/opensploit/github@latest
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
        with:
          model: anthropic/claude-sonnet-4-20250514
          use_github_token: true
          prompt: |
            Review this pull request:
            - Check for code quality issues
            - Look for potential bugs
            - Suggest improvements

Per gli eventi pull_request, se non viene fornito alcun prompt, OpenSploit fa di default la review della pull request.

Esempio di triage delle issue

Triage automatico delle nuove issue. Questo esempio filtra gli account piu’ vecchi di 30 giorni per ridurre lo spam:

name: Issue Triage

on:
  issues:
    types: [opened]

jobs:
  triage:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: write
      pull-requests: write
      issues: write
    steps:
      - name: Check account age
        id: check
        uses: actions/github-script@v7
        with:
          script: |
            const user = await github.rest.users.getByUsername({
              username: context.payload.issue.user.login
            });
            const created = new Date(user.data.created_at);
            const days = (Date.now() - created) / (1000 * 60 * 60 * 24);
            return days >= 30;
          result-encoding: string

      - uses: actions/checkout@v6
        if: steps.check.outputs.result == 'true'
        with:
          persist-credentials: false

      - uses: silicon-works/opensploit/github@latest
        if: steps.check.outputs.result == 'true'
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
        with:
          model: anthropic/claude-sonnet-4-20250514
          prompt: |
            Review this issue. If there's a clear fix or relevant docs:
            - Provide documentation links
            - Add error handling guidance for code examples
            Otherwise, do not comment.

Per gli eventi issues, l’input prompt e’ obbligatorio dato che non c’e’ un commento da cui estrarre le istruzioni.

Prompt personalizzati

Sovrascrivi il prompt di default per personalizzare il comportamento di OpenSploit nel tuo workflow.

- uses: silicon-works/opensploit/github@latest
  with:
    model: anthropic/claude-sonnet-4-5
    prompt: |
      Review this pull request:
      - Check for code quality issues
      - Look for potential bugs
      - Suggest improvements

E’ utile per imporre criteri specifici di review, standard di codice o aree di focus rilevanti per il progetto.

Esempi

Ecco alcuni esempi di come puoi usare OpenSploit su GitHub.

Spiega una issue

Aggiungi questo commento in una issue GitHub.
```
/opensploit explain this issue
```
OpenSploit leggera’ l’intero thread, inclusi tutti i commenti, e rispondera’ con una spiegazione chiara.
Risolvi una issue

In una issue GitHub, scrivi:
```
/opensploit fix this
```
OpenSploit creera’ un nuovo branch, implementera’ le modifiche e aprira’ una PR con i cambiamenti.
Rivedi PR e fai modifiche

Lascia il seguente commento su una PR GitHub.
```
Delete the attachment from S3 when the note is removed /oc
```
OpenSploit implementera’ la modifica richiesta e la committera’ nella stessa PR.
Rivedi righe specifiche di codice

Lascia un commento direttamente sulle righe di codice nella tab “Files” della PR. OpenSploit rileva automaticamente file, numeri di riga e contesto del diff per fornire risposte precise.
```
[Comment on specific lines in Files tab]
/oc add error handling here
```
Quando commenti su righe specifiche, OpenSploit riceve:
- Il file esatto in review
- Le righe di codice specifiche
- Il contesto del diff circostante
- Informazioni sul numero di riga
Questo permette richieste piu’ mirate senza dover specificare manualmente path file o numeri di riga.